Categoría: Actualidad

Análisis

La vulnerabilidad ha sido Identificada como CVE-2024-38200, esto es causada por una debilidad de divulgación de información que permite a actores no autorizados acceder a información protegida. Si bien la evaluación de explotabilidad de Microsoft dice que la explotación de CVE-2024-38200 es menos probable, MITRE ha etiquetado la probabilidad de explotación de este tipo de debilidad como altamente probable.

Se espera que se envíe un parche formal para corregir dicha vulnerabilidad mañana dia 13 de agosto como parte de sus actualizaciones mensuales de los martes, aun así también indicaron que identificaron una solución alternativa que habilitaron a través de Feature Flighting a partir del 30 de julio de 2024.

Por ultimo, han señalado que si bien los clientes ya están protegidos en todas las versiones con soporte de Microsoft Office y Microsoft 365, es esencial actualizar a la versión final del parche a partir del dia 13.

Recursos afectados

• • Versiones de Office de 32 y 64 bits, incluidas Office 2016, Office 2019, Office LTSC 2021 y Microsoft 365 Apps for Enterprise.

Recomendaciones

Microsoft ha indicado como medida de mitigacion se puede bloquear el tráfico NTLM saliente utilizando los siguientes tres métodos:

• • Configuración de la política de grupo Seguridad de red: Restringir NTLM: Tráfico NTLM saliente a servidores remotos para permitir, bloquear o auditar el tráfico NTLM saliente desde un equipo con Windows 7, Windows Server 2008 o posterior a cualquier servidor remoto que ejecute el sistema operativo Windows. En este caso, conviene utilizar la política para bloquear el tráfico NTLM.

• • Agregar usuarios al grupo de seguridad de usuarios protegidos , que restringe el uso de NTLM como mecanismo de autenticación.

• • Bloqueando todo el tráfico saliente al puerto TCP 445.

Pero advierte que utilizar cualquiera de estas mitigaciones podría impedir el acceso legítimo a servidores remotos que dependen de la autenticación NTLM.

Referencias

• • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38200
  • https://thehackernews.com/2024/08/microsoft-warns-of-unpatched-office.html
  • https://www.bleepingcomputer.com/news/security/microsoft-discloses-unpatched-office-flaw-that-exposes-ntlm-hashes/

Introducción

Los investigadores Reid Wightman, de Dragos, y Diego Zaffaroni, de Nozomi Networks, han reportado al fabricante Johnson Controls 2 vulnerabilidades, una de ellas de severidad crítica, cuya explotación podría permitir a un atacante descifrar comunicaciones debido a una longitud de clave y un intercambio insuficientes, así como enviar una solicitud no autorizada o acceder a datos de un dominio no fiable.^[1]

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

• • • CVE-2024-32758 – Fortaleza de cifrado inadecuada (CWE-326):
      En determinadas circunstancias, la comunicación entre el Cliente exacqVision y el Servidor exacqVision utilizará una longitud de clave e intercambio insuficientes. Esto podría ser empleado por un atacante para descifrar comunicaciones e incluso enviar una solicitud no autorizada.

• La serie de productos afectados es:
  • • Cliente y servidor exacqVision, todas las versiones.
    • ExacqVision Web Service, Versión 22.12.1.0.

Recomendaciones

Actualizar los productos afectados a las versiones 24.06 o posteriores.

Referencias

• [1] ICSA-24-214-01 – Johnson Controls exacqVision Client and exacqVision Server

Los investigadores advierten sobre vulnerabilidades en el software de correo web Roundcube que podrían ser explotadas para robar información confidencial de las cuentas objetivo.

Análisis

El equipo de investigación de vulnerabilidades de Sonar descubrió dos vulnerabilidades críticas de tipo Cross-Site Scripting (XSS) en el software de correo web de código abierto Roundcube. Roundcube está incluido de forma predeterminada en el panel de alojamiento de servidores cPanel, que cuenta con millones de instalaciones en todo el mundo.

Un atacante puede activar la vulnerabilidad para ejecutar JavaScript arbitrario en el navegador de la víctima cuando ve un correo electrónico malicioso, lo que podría provocar el robo de correos electrónicos, contactos, contraseñas y el envío de correos electrónicos no autorizados.

Las vulnerabilidades XSS han sido identificadas como CVE-2024-42009 y CVE-2024-42008 , que tienen calificaciones críticas y altas respectivamente.

No se requiere interacción del usuario para explotar con éxito CVE-2024-42009, mientras que para CVE-2024-42008, se necesita un solo clic por parte de la víctima.

Recursos afectados

• • Versiones 1.6.7 y anteriores de Roundcube, y a las versiones 1.5.7 y anteriores.

Recomendaciones

• • Los investigadores recomiendan encarecidamente a los administradores de Roundcube que apliquen los parches más recientes (versión 1.6.8 o 1.5.8) de inmediato. Los usuarios afectados deben cambiar sus contraseñas de correo electrónico y borrar los datos del sitio de su navegador para Roundcube.

Referencias

• • https://securityaffairs.com/166736/hacking/critical-xss-bug-in-roundcube-webmail.html
•  

Android ha publicado el boletín de seguridad correspondiente al mes de agosto de 2024

Análisis

El boletín de Android, relativo a agosto de 2024, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, una divulgación de información o una ejecución remota de código.

Entre otras se han corregido las siguientes vulnerabilidades:

• • CVE-2024-23350: esta vulnerabilidad crítica podría conllevar la denegación de servicio permanente cuando el transporte DL NAS recibe varias cargas útiles, una de las cuales contiene un contenedor SOR cuya comprobación de integridad ha fallado, y la otra es un LPP en el que el equipo debe enviar un mensaje de estado a la red
  • CVE-2024-36971: vulnerabilidad de severidad alta y tipo RCE que se encontraba en explotación activa. Corregida en el kernel de Linux

El resto de identificadores CVE pueden consultarse en las referencias.

Recursos afectados

• • Android Open Source Project (AOSP): versiones 12, 12L, 13 y 14.
  • Componentes de Arm, MediaTek, Imagination Technologies y Qualcomm.

Recomendaciones

• • En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.

    En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.

Referencias

• • Android Security Bulletin – August 2024
•